No se pueden administrar ni quitar objetos que se sincronizaron mediante la herramienta de sincronización de Azure Active Directory
En este artículo se describe un problema por el que no se pueden administrar ni quitar objetos creados mediante la sincronización de directorios de Microsoft Entra ID. Proporciona dos soluciones para este problema según diferentes razones.
Versión del producto original: Cloud Services (roles web/roles de trabajo), Microsoft Entra ID, Microsoft Intune, Azure Backup, Office 365 Identity Management
Número de KB original: 2619062
Síntomas
Intenta administrar o quitar manualmente los objetos creados mediante la sincronización de directorios de Microsoft Entra ID:
Por ejemplo, quiere quitar una cuenta de usuario huérfana que se sincronizó con Microsoft Entra ID de la Active Directory local Servicios de dominio (AD DS).
En este escenario, no puede quitar la cuenta de usuario huérfana mediante el portal de servicios en la nube de Microsoft en Office 365, Azure o Microsoft Intune, ni mediante Windows PowerShell.
Causa
Este problema puede producirse si se cumplen una o varias de las condiciones siguientes:
- Ad DS local ya no está disponible. Por lo tanto, no puede administrar ni eliminar el objeto del entorno local.
- Ha eliminado un objeto de AD DS local. Sin embargo, el objeto no se eliminó de la organización del servicio en la nube. Este comportamiento es inesperado.
Solución
Ad DS local ya no está disponible. Por lo tanto, no puede administrar ni eliminar el objeto del entorno local.
Quiere administrar objetos en Office 365, Azure o Intune y ya no quiere usar la sincronización de directorios.
Nota:
Los módulos de PowerShell de Azure AD y MSOnline están en desuso a partir del 30 de marzo de 2024. Para obtener más información, lea la actualización de desuso. Después de esta fecha, la compatibilidad con estos módulos se limita a la ayuda de migración al SDK de PowerShell de Microsoft Graph y a las correcciones de seguridad. Los módulos en desuso seguirán funcionando hasta el 30 de marzo de 2025.
Se recomienda migrar a Microsoft Graph PowerShell para interactuar con Microsoft Entra ID (anteriormente Azure AD). Para obtener preguntas comunes sobre la migración, consulte las Preguntas más frecuentes sobre la migración. Nota: Las versiones 1.0.x de MSOnline pueden experimentar interrupciones después del 30 de junio de 2024.
Si no ejecuta Windows 10, instale la versión de 64 bits del asistente para inicio de sesión de Microsoft Online Services: Ayudante para el inicio de sesión de Microsoft Online Services para profesionales de TI (RTW).
Instale el módulo Microsoft Azure Active Directory para Windows PowerShell:
- Abra un símbolo del sistema de Windows PowerShell con privilegios elevados (ejecute Windows PowerShell como administrador).
- Ejecute el comando
Install-Module MSOnline.
Para deshabilitar la sincronización de directorios, ejecute el siguiente comando:
Set-MsolDirSyncEnabled -EnableDirSync $falseCompruebe que la sincronización de directorios está totalmente deshabilitada mediante el Windows PowerShell. Para ello, ejecute periódicamente el siguiente comando:
(Get-MSOLCompanyInformation).DirectorySynchronizationEnabledEste comando devolverá True o False. Continúe ejecutando este comando periódicamente hasta que devuelva False y, a continuación, vaya al paso siguiente.
La desactivación puede tardar 72 horas en completarse. El tiempo depende del número de objetos que se encuentran en la cuenta de suscripción del servicio en la nube.
Intente actualizar un objeto mediante Windows PowerShell o mediante cloud service portal.
El paso 4 puede tardar un tiempo en completarse. Hay un proceso en el entorno de servicio en la nube que calcula los valores de atributo. El proceso debe completarse antes de que los objetos se puedan cambiar mediante Windows PowerShell o mediante el portal de servicios en la nube.
Se elimina un objeto de un AD DS local. Sin embargo, el objeto no se elimina de la cuenta de suscripción de servicio en la nube
Forzar la sincronización de directorios mediante los pasos de este artículo: Iniciar el programador
Si se propagan algunas actualizaciones y eliminaciones, pero algunas eliminaciones no se sincronizan con el servicio en la nube, siga los procedimientos típicos de solución de problemas de sincronización de directorios.
Si todas las actualizaciones y eliminaciones no están sincronizadas con el servicio en la nube, póngase en contacto con el soporte técnico.
Nota:
Como solución alternativa para este escenario, un objeto se puede eliminar manualmente en el servicio en la nube. Sin embargo, el objeto no se puede actualizar en el servicio en la nube. Para obtener más información sobre cómo resolver este problema, consulte el siguiente artículo de Microsoft Knowledge Base: Las eliminaciones de objetos no se sincronizan con Microsoft Entra ID al usar la herramienta Azure Active Directory Sync.
Más información
Para volver a habilitar la sincronización de directorios, ejecute el siguiente comando:
Set-MsolDirSyncEnabled -EnableDirSync $true
Es importante planear cuidadosamente al volver a habilitar la sincronización de directorios. Si ha usado el portal de servicios en la nube o Windows PowerShell para realizar cambios directamente en los objetos que se sincronizaron originalmente desde AD DS local, los cambios se sobrescribirán mediante atributos locales y la configuración la primera vez que se produzca la sincronización después de que se vuelva a habilitar la sincronización de directorios.
Ponte en contacto con nosotros para obtener ayuda
Si tiene preguntas o necesita ayuda, cree una solicitud de soporte o busque consejo en la comunidad de Azure. También puede enviar comentarios sobre el producto con los comentarios de la comunidad de Azure.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de